Моя организация использовала 389 Directory Server
LDAP
до сих пор для управления аутентификацией. Мне было поручено перейти на Kerberos
для этой цели, но я все еще хочу сохранить LDAP
для неавторизованных данных.
Моя проблема заключается в заполнение существующих пользователей.
Как я понимаю, LDAP
сохраняет хешированный пароль, но Kerberos
генерирует ключ на основе простого текстового пароля при создании пользователя. Есть ли способ вместо этого использовать хешированный пароль? Я знаю, что это возможно в LDAP
.
Друг столкнулся с аналогичной проблемой, и его решение состояло в том, чтобы захватывать запрос пароля пользователя / обычного текста при каждой попытке аутентификации и использовать эту информацию для заполнения его Kerberos
базу данных на несколько месяцев (чтобы получить всех «активных» пользователей), но это создает некоторые риски для безопасности.
Другой вариант - отправить всем пользователям массовое электронное письмо с принуждением к сбросу пароля, но я бы предпочел этого избежать.
Есть ли способ лучше?
Это должно указать вам правильное направление:
Можно немного изменить pam-krb5, так что pam_sm_authenticate
на самом деле звонит pam_sm_chauthtok
и возвращается PAM_IGNORE
. Таким образом, pam_krb5 будет менять пароли вместо аутентификации.